Foro de elhacker.net

Pues he estado leyendo manuales  del foro e informandome sobre el tema pero no consigo aclararme el como hacer para quitar la proteccion.

Analizando con el armFp:
Enable Memory-Patching Protections
!- <Backup Key Options>
Variable Backup Keys
Fixed Backup Keys
!- <Compression Options>
Better/Slower Compression
!- <Other Options>
Store Environment Vars Externally
?- Signature 46941D80 11-07-2007

lo primero que estoy buscando es el call emcriptador pero lo que encuentro no se le  parece en nada a los manuales que estoy leyendo si alguien me puede echar una mano lo agradezco y perdonar la torpeza pero no se mucho sobre el tema.

El programa en cuestion lo dejo adjunto ademas de una foto para ver si lo que hago es correcto, por si alguien me quiere ayudar.

Un saludo y gracias de ante mano.

(http://img171.imageshack.us/img171/8870/dibujonq9.jpg)
http://rapidshare.com/files/94001905/nody.zip.html

para mayor dificultad me doy cuenta que dependiendo el analizador que le pase al programa me dice que esta comprimido con diferentes programas incluso me ha llegado a decir que esta comprimido con 3. el blowfish el crc32 y el tea

es un armadillo con todas sus armas:
<------- 22-02-2008 17:54:32 ------->
D:\Noddy 3.4.exe
!- Protected Armadillo
Protection system (Basic)
!- <Protection Options>
Debug-Blocker
CopyMem-II
Enable Import Table Elimination
Enable Strategic Code Splicing
Enable Memory-Patching Protections
!- <Backup Key Options>
No Registry Keys at All
!- <Compression Options>
Minimal/Fastest Compression
!- <Other Options>
Store Environment Vars Externally
Disable Monitoring Thread
Use eSellerate Edition Keys
Don't Fall Back to Stand-Alone Mode
!- Version 4.48

Bajate este tute de NCR y Marcianoi que esta muy bueno

http://storage2.ricardonarvaja.com.ar/web/CURSO%20NUEVO/TEORIAS%20NUMERADAS/601-700/657-Armadillo%20v4.40%20CopyMemII%20DebugBlocker%20Import%20Table%20Elimination%20por%20NCR%20y%20marciano.rar (http://storage2.ricardonarvaja.com.ar/web/CURSO%20NUEVO/TEORIAS%20NUMERADAS/601-700/657-Armadillo%20v4.40%20CopyMemII%20DebugBlocker%20Import%20Table%20Elimination%20por%20NCR%20y%20marciano.rar)

0044EF50   CALL Noddy_3_.0044F2A0   <==descifra
0044F21B   CALL Noddy_3_.0044F2A0   <==cifra

Saludos
tena

Este es el oep

00412FA0  PUSH EBP
00412FA1  MOV EBP,ESP

y no tiene iat scramble

0041C544  77D1F652  USER32.CallWindowProcA
0041C548  77D2D9B8  USER32.ChildWindowFromPoint
0041C54C  77D2935C  USER32.CopyIcon
0041C550  77D1D4FE  USER32.DefWindowProcA
0041C554  00BA0F10
0041C558  77D1F797  USER32.EnableMenuItem
0041C55C  77D1B62D  USER32.EndPaint
0041C560  77D55279  USER32.EnumPropsA
0041C564  77D1C267  USER32.FillRect
0041C568  77D1D668  USER32.GetActiveWindow

Suerte

Lo primero muchas gracias por tu aporte y atencion.

Bueno pues creo que lo hize bien , ahora ya no tiene el armadillo o eso creo yo
he vuelto a  analizar el programa  con este analizador: RDG packet detector.

por un lado me dice que esta compilado en powerbasic/cc 3.0 x y por otro lado veo que aun me pone que es posible que este protegido con armadillo heuristica.

No se seguire de nuevo el manual , de todas formas dejo aqui mi "avance" por si quieres echarle un vistazo , muchas gracias por tu tiempo.

http://rapidshare.com/files/94099368/semicracking.rar.html

Funciona perfecto y en un solo proceso.

Felicitaciones

tena

Hola Tena te sigo molestando , mira el programa como te dije sigue emcriptado,

te paso el codigo cifrado

8B4DFC8B51048955B8C745BC2037EFC6C745C0200000008B45C08B4DC083E901894DC085C076558B55C4C1E2040355E88B45C40345BC33D08B4DC4C1E905034DEC33D18B45B82BC28945B88B4DB8C1E104034DF88B55B80355BC33CA8B45B8C1E8050345F033C88B55C42BD18955C48B45BC054786C8618945BCEB9B8B4DFC8B55C489118B45FC83C0048945FC8B4DFC8B55B889118B45FC83C0048945FC837D14007D0C8B4DC4894DF08B55B88955ECE937FFFFFF8BE55DC3

este pedazo de codigo esta cifrado con el blowfish, como podemos hacer para desemcriptarlo??

El programita ya esta desempacado, como dijo Tena, yo tambien lo baje y lo revise. yo lo habia hecho y te lo estaba por enviar, pero bueno, ya lo tenes resuelto. el tuyo esta perfecto.

solid.

gracias solidcls por haverte preocupado en mirar el programa e incluso con la intencion de mandarmelo, pero creo y corregirme si me equivoco que el programa sigue codificado es verdad que ya no tien el armadillo y que puedes cambiar botones y demas pero hay una parte de el que sigue criptad con el blowfisth como dije antes , lo se por dos cosas una de ellas es por los analizadores y la segunda es que en el programa tien que haber unas instrucciones que nesesito saber y eso no aparece. ademas si busco el serial del progrma no aparece eso es otra cosa por la cual creo que el programa no esta totalmente desprotegido.

Un saludo y gracias

El programa esta perfectamente desempacado, ya no tiene armadillo, todo el resto que pueda tener es parte pura y exclusiva del programa mismo, pero ya no tiene packer, lo qeu vos querias era quitar el armadillo y ya lo has hecho.
el resto es otra historia
saludos.
solid.

Okis , bueno una vez desempacado el progrma tengo posibilidad de cambiar botones ... pero ahora bien otra cosa que quiero hacer y es quitar estos sistemas de criptacion( como vemos en la foto).

http://rapidshare.com/files/94532313/Dibujo1.JPG.html

aqui dejo algo para el que se anime tengo informacion. gracias a todos si encontrais los datos y nesesitais hacer el xor y no teneis programas para ello pedirlo.

http://rapidshare.com/files/94529680/VisualProtect.rar.html

Hola tengo un problema similar estoy intentando quitar una proteccion armadillo pero no logro identificar exactamente cual es la version me ha llegado a detectar el RDG como themida y como asprotect y estoy confundido puedo subir el soft en cuestion para que me ayuden a identificarlo por favor.



RDG me dice armadillo 3.7-4.x y tambien me dice con metodo potente
visual basic 6 codigo nativo, xtreme protector 1.08 y themida heuristica (comprimido) he seguido guias pero no se acercan ni un poco con lo que veo en el olly por favor ayudenme.




<------- 21-01-2010 03:21:46 ------->
C:\Documents and Settings\Administrator\Desktop\idenu cracked.exe
!- Protected Armadillo
Protection system (Professional)
!- <Protection Options>
Debug-Blocker
CopyMem-II
Enable Memory-Patching Protections
!- <Backup Key Options>
No Registry Keys at All
!- <Compression Options>
Minimal/Fastest Compression
!- <Other Options>
Use Digital River Edition Keys
4AE4E680 Version 7.00 26-10-2009
!- Elapsed Time 00h 00m 09s 274ms

Barbosah, no te preocupes tanto de que version es y que protecciones tiene, cuando lo empieces a desempacar te vas a ir dando cuenta.  Lo que quiero decir, es que no es necesario conocer ni siquiera de que packer se trata para desempacarlo, se va resolviendo a medida que vas viendo lo que hace, el resto es solo para tener una idea a que te vas a enfrentar,  pero lo ideal seria poder enfrentarse a todo por igual, sin importar como se llame el packer o que version sea
esa es mi opinion.
Solid.

gracias por tu opinion creo que me ha tranquilizado un poco, mi problema es la cuestion tiempo, lo que pasa es que adquiri un soft un poco caro cambie en mi pc algunas cosas me cambio el fingeprint y no me actualizan si no les pago la licencia nuevamente y eso es un robo amigo y yo vivo de ese programa que por cierto me esta acumulando trabajo.
Gracias

pd hay manera de grabar el fingerprint en el programa para no volver a tener ese problema

Yo tengo un problema similar, el reporte del armFp me dice que es armadillo 7, beta 3, el problema es que estoy siguiendo las intrucciones de narvaja y el olly se queda congelado, utilize el deFixed me muestra lo que se ve en la imagen.
El shadows no me deja introducir "he strcpy" al colocarlo no establece ningun bp

No se si estoy haciendo algo mal.
¿existe algun manualo tuto para la versión 7?
Gracias

<------- 16-04-2010 23:34:25 ------->
C:\AutoSoft Taller Estándar 3.00\autosoft30.exe
!- Protected Armadillo
Protection system (Professional)
!- <Protection Options>
Debug-Blocker
CopyMem-II
Enable Memory-Patching Protections
!- <Backup Key Options>
Variable Backup Keys
!- <Compression Options>
Better/Slower Compression
!- <Other Options>
Use Digital River Edition Keys
4ABFFC80 Version 7.00Beta3 28-09-2009!- Elapsed Time 00h 00m 01s 907ms

Lo subi a la siguiente dirección
http://rapidshare.com/files/376709094/autosoft30.exe.html

y la imagen del defixed en http://bayimg.com/kALcgaacP
(http://bayimg.com/kAlcGaaCp)

A las excepciones las pasas con Shift+F9, configuralo en las opciones y pone un rango que abarque a todas 00000000-FFFFFFFF

suerte

es el instaldor o el ejecutable solamente?

me pide foxpro...

slds

el instalador de la pagina es de 32 megas
y el del link es de 12 casi.. sera solo el exe

bajando de la pagina para verlo mas despues, porque ya es tarde

slds

Perdon es, solo el instalador, la web del programa es http://www.autosofttaller.com/Descargas/index.html

pero de todos modos voy a subir yo la versión que yo baje hace como un mes, por si acaso. cuando este subido colocó el link

Gracias.

Gracias tena
He intentado colocando las excepciones, como dijiste, y nada, las lemine y nada, les puse que las inorara y que no las ignorara y nada, siempre caigo en una intrucción que dice Prefix lock:  y la que sigue dice ???.
la imagen esta en: http://bayimg.com/mAlFGaAcP
Estoy subiendo el intalador completo, sacado del installshield, a varios servidores a la vez, en lo que este listo coloco las direcciones.

El soft que estoy analizando tiene armadillo 7, esta hecho en VFP (visual foxpro), Lo subi completo sacado del instalador en massmirror para tener varios sitios para descargar, es de 32 mb
http://massmirror.com/f84eea603124417a99978602f584d6e0.html
 en un post anterior coloque solo el ejecutable.

Lei en otro foro que el armadillo 7 coloca introcciones que Olly no reconoce y por eso se congela,  seguire probando.

El primer cartel que te sale es por el bug de olly del Illegal Intruction.

El cuelgue es por el OutPutDebugString.

Usa algun plugin que oculte el Isdebug y arregle el OutPutDebugString.

slds